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片平 真史 


字 生 機器 に 学ぶ 


安全 な ソフ トウ ェ ア の 作り 方 


石 演 直 樹 安全 意識 と 誇り を 持つ て 設計 ・ 検 証 に 取り 組む 


ここ で は , 宇宙 分 野 に お ける 信頼 性 向上 や 安全 性 確 介 の た め の 
考え 方 と , 宇宙 航空 研究 開発 機構 (JAXA) で 実施 し て いる 安全 
の た め の 取 り 組み に つい て 解説 する . (編集 部 ) 


宇宙 分 野 に も 幅広 い 種 類 の ソフ トウ ェ ア が あり ます . 例 
えば , 人 工 衛星 写真 1) に 搭載 され る ソフ トウ ェ ア は , 規 
模 や 機能 の 面 で 家電 製品 な ど に 組み 込ま れる ソフ トウェア 
と 似 て いま す . そし て , 開発 の 課程 に お いて 抱え て いる 問 
題 点 も , ほか の 組み 込み ソフ トウ ェ ア と よく 似 て いま す . 

方 , 宇宙 分 野 の ソフ トウ ェ ア は 以前 か ら 高い 信頼 性 や 
安全 性 を 要求 され て き て お り , その 点 で いろ いろ と 工夫 を 
重ね て いま す . ここ で は , 宇宙 分 野 に お いて 取り 組ん で き 
た 手法 や 考え 方 を ベー ス に , ソフ ト ウェ ア の 安全 性 を 高め 
る 方 法 に つい て 解説 し ます . 


写真 1 国際 宇宙 ステ ーション 完成 イメ ー ジ 図 ) 


1. 信頼 性 向上 と 安室 性 確保 の 違い を 
理解 する 


人 工 衛星 な どの 宇宙 機器 は , 宇宙 と いう 特殊 環境 で 使用 

する ( 例え ば , 宇宙 放射 線 の 影響 に より , コン ピュ ー タ の 
に ビッ ト 化け が 発生 する ) た め , 宇宙 用 に 開発 され 

た 耐 放射 線 性 能 の 高い CPU を 搭載 し て いま す . た だ し , 宇 
宙 用 CPU を 使用 し た と し て も , ソフ トウ ェ ア に お ける ビッ 
ト 化け な どの 影響 を 考慮 し て 設計 する 必要 が あり ます . 

ソフ ト ウェア で 故障 耐性 を 確保 する た め の 手 法 と し て , 
IN パー ジョ ン ・ プ ログ ラミ ング 同じ 処理 を 異な る アル ゴ 
リズ ム で 複数 実装 し て お き , 並列 処理 し て 計算 結果 を 多数 
決する ) ま 1 と いう も の が あり ます . この 有効 性 を 報告 する 
論文 も ある 一 方 , 開発 コス ト の 増加 や , 多数 決 で 計算 結果 
を 選択 する こと に よっ て 一 貫 性 が な く な り , 新た な 問題 を 
引き 起こ す 可 能 性 が ある , な ど と 指摘 され て いま ず 1 2. 

スペ ー ス ・ シ ャ トル の 設計 に お いて は , N バ ー ジ ョ ン 
プロ グラ ミン グ の ほか に , それ ら を 監視 し て 異常 を 検知 す 
る 役割 を 持っ た コン ピュ ー タ と ソフ ト ウェ ア を 用 意 す る な 
どの 方 法 も 採ら れ て いま す . 

また 現在 は , 安全 に か か わる 複数 の 制御 系 や 監視 系 を , 
1 台 の コン ピュ ー タ に 搭載 され た ソフ ト ウェ ア で 処理 する 
場合 が あり まず 右 揚 の コラ ム | 宇宙 ステ ーション 時 代 に 
な っ て 認め られ た ソフ ト ウェ ア の 冗長 性 」 を 参照) この よ 


注 1: IEC 61508 で 紹介 され て いる diverse programming の 一 つの 技法 を 
指す . 


Keyiord N バ ー ジ ョ ン ・ プ ログ ラミ ング , 高 信頼 性 検証 , FTA, IV&V, SPiCE for Space, TOPPERS HRP, 安全 確保 
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うな 状況 で は , リ アルタイ ム OS に お ける 安全 性 確保 が 重 
要 と な り ま す . 安全 解析 や 安全 設計 の た め に OS の 内 部 詳 
細 情 報 を 分 析 す る 必要 が ある た め , 宇宙 航空 研究 開発 機構 
( JAXA) で は , リア ル タ イ ム OS の 高 信頼 性 検証 プロ セス 
を 独自 に 策定 する と と も に , オー プン ・ ソ ー ス ・ ソ フト ウ 
エア で ある TOPPERS OS を ベース と し て 安全 機能 を 強化 
し た リア ル タ イ ム OS を 開発 し て いま ず p.58 の コラ リ 
アル タイ ム OS の 信頼 性 を 検証 する 」 を 参照 ). 


@⑯「 信 頼 性 が 高い 三 安全] で は な い 

製品 の 信頼 性 が 向上 する こと は , 出荷 後 の リ スク を 低減 
する た め に 大 変 重要 で す . また , 製品 ソフ トウ ェ ア ) を テ 
スト する こと に より , 製品 の 信頼 性 を 向上 で きる こと も 自 
明 の 理 で す . と ころ で , 製品 の 安全 に 対し て は , 信頼 性 を 
向上 する だ け で 十分 な の で し ょ うか . 

意図 的 に 事故 を 起こ す よ うな 製品 を 作る 人 は いま せん . 
準備 され た 機能 が 想定 外 の 動き を し た と き や 必 要 な 機能 が 
欠落 し て いた と き に , それ が 大 き な 事 故に つなが り ま す . 
従っ て , 要求 され た 機能 が 想定 され た 条件 の も と に 動作 す 
る だ け で は だ め な の で す . 事実 , 1996 年 に 起き た , ESA 
( European Space Agency : 欧州 宇宙 機関 ) の アリ アン V 
型 ロ ケッ ト の 事故 異常 検知 に より 自動 爆破 し た ) は , 設定 
され た 機能 は 求め られ た 通り に 動作 し まし た が 事故 に 至り 
まし た 注 2. 

製品 その も の に どの よう な 潜在 的 危険 が あり , その 製品 
に 組み 込ま れ た ソフ トウ ェ ア が どの よう に 影響 する 可能 性 
が ある の か を , 安全 性 と いう 観点 か らし っ か り と 分 析 す る 
必要 が あり ます . 

宇宙 分 野 に お いて は , 以下 の よう な 安全 性 の 基本 方 針 が 
あり ます . 

e どの よう な 故障 が 二 つ 重 な っ て 発生 し て も , 人 を 殺さ な 

い . 製品 を 喪失 し な い 


A. 直接 原因 と な る 制御 系 図 
機能 その も の が 危険 な 事象 に 影響 する 機能 較 
ケー ス 1) 機能 不動 作 が 人 を 殺す , 負傷 させ る 図 
e 必要 な と き に 動作 し な い 図 
e 動作 中 に 不意 に 止ま る 較 
e 停止 時 に 想定 外 の 止ま り 方 を する 図 
ケー ス 2) 機能 動作 が 人 を 殺す , 負傷 させ る 図 
e 動い て は いけ な いと き に 動き 出す 較 
e 停止 し な けれ ば な ら な いと き に 止ま ら な い 図 
e 動き 出す と き に 想定 外 の 動き を する 図 
B. 安全 監視 系 図 
危険 な 事象 を 監視 ・ 検 知 し , 抑制 する 機能 較 ア 


図 1 ソフ トウ ェ ア が 関係 する 安全 機能 

ソフ ト ウェ ア は 製品 に 組み 込ま れる こと に より , 危害 を 及ぼ す 可 能 性 が 発生 
する . 特に , 制御 系 や 安全 監視 系 の 機能 を 担っ た と き に , 安全 に か か わっ て 
くる . 


e どの よう な 故障 が 単独 で ) 発生 し て も , 人 を 負傷 させ な 

い . 製品 の 重要 な 機能 を 喪失 させ な い 

ソフ ト ウェ ア 安 全 性 の 規格 も , この 基本 方 針 に 従っ て 整 
備 さ れ て いま す . これ ら の 前 提 の 下 , ソフ トウ ェ ア の 特性 
を 考慮 し て , 安全 確保 に 取り 組ん で いま す . 

あえ て 言う まで も あり ませ ん が , ソフ トウ ェ ア だ け で は 
人 を 殺し た り は し ませ ん . ソフ トウ ェ ア が シス テバ 製品 ) 
に 組み 込ま れ て 初め て , その 危険 性 が 発生 に ます. で は , 
ソフ トウ ェ ア が どの よう な 形 で 製品 全体 の 安全 性 に 影響 す 
る の で し ょ うか . 具体 的 事象 は , 業種 や 製品 に よっ て まち 
まち で す が , 一 般 的 に は 図 1 に 示す 機能 に つい て , 安全 を 
考慮 する 必要 が ある と 考え られ ます . 

な お , 宇宙 ステ ーション 計画 に お ける 安全 要 来 SSP50038 
( 宇宙 ステ ーション の コン ピュ ー タ 制御 シス テム に 対す る 
安全 要求 )1 ? に も , 図 1 の パ 直接 原因 と な る 制御 系 ) に 相 
当 す る 項目 が あり ます . Must Work Functior ケー ス 1) 
と Must Not Work Functio パ ケー ス 2) を 識別 し , 安全 要 
求 を 適用 する よう に 規定 され て いま す . 


注 2: 当初 の 想定 と 異な る 利用 環境 再 利用 ) で 動作 し た た め , 事故 に 至っ 
た . も ちろ ん , 再 利用 時 の 検証 不足 も 問題 と し て 指摘 され る べき だ 


we 上 目 字 宙 ステ ーション 時 代 に な っ て 認め られ た ソフ トウ ェ ア の 兄 長 性 


スペ ー ス ・ シ ャ トル を 設計 し て いた 時 代 1970 年 代 後半 ~ 1980 年 
代 後 半 ) に は , 1 台 の コン ピュ ー タ 上 の ソフ ト ウェ ア 機 能 と し て 二 つ 


以上 の 冗長 機能 を 実装 する こと は , 安全 設計 上 , 許容 され て いま せ 
ん で し た . し か し , コン ピュ ー タ の 能力 向上 な ど に より , 宇宙 ステ 
ーション を 設計 する 時 供 1980 年 代 後 半 現 在 ) に な っ て か ら は , 1 
台 の コン ピュ ー タ 上 の ソフ ト ウェ ア で 二 つ 以 上 の 制御 系 や 監視 系 の 


処理 を 行う こと が 許容 され る よう に な っ て いま す . 

この 際 に 重要 な の は , ソフ トウ ェ ア の 処理 の 独立 怪 リア ル タ 
ム OS レベ ル ま で 含む ) を 確保 する こと で す . いか な る 欠陥 が 発生 
し て も , 同時 に 二 つ 以 上 の 処理 に 影響 し な いこ と を 保証 する 必要 が 
あり ます . 
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直接 原因 と な る 制御 系 図 1 の A) の うち , ケー ス 1 は , 
自動 車 に お ける ブレ ー キ の よう な も の で す . その 機能 が 動 
作 し な いこ と に より , 直接 的 に 危険 な 事象 に 影響 する も の 
が 該当 し ます . 一 方 , ケー ス 2 は , エレ ベー タ の 制御 な ど 
が 該当 し ます . 人 の 乗り 降り の 最 中 に 不用 意 に 動作 し て し 
まう よう な ケー ス で す . 通常 は , ケー ス 1 と ケー ス 2 の 両 
方 に 該当 する 機能 が 多く 識別 され る こと に な り ま ず 例え 
ば は エア * ブック グ な ど ), 

また , 安全 監視 系 図 1 の B) は , 火災 時 の 自動 消火 機能 
な どの よう な も の で す . その 機能 が 故障 する こと に よっ て , 
直接 的 に 火災 が 発生 する わけ で は あり ませ ん が , 別 の 原因 
で 発生 し た 火災 を 監視 ・ 検 知 し , 延焼 を 防止 し , 鎮火 する 
機能 が これ に 該当 し ます . 

図 1 に 示し た よう な 潜在 危険 に 関連 する 機能 を リス ト 
アッ プ す れ ば , ソフ ト ウェ ア が 製品 の 安全 性 に 影響 を 及ぼ 
す 事 象 を 洗い 出す た め の 一 つの ヒン ト と な り ま す . 


2. ソフ トウ ェ ア の 安全 評価 プロ セス | 


宇宙 ステ ーション 計画 な ど に お いて は , ソフ ト ウェ ア の 
全 性 は シス テム の 安全 性 と 同じ よう に 詳細 に 分 析 ・ 審 査 
れ ま す . ここ で は その プロ セス を 参考 に , ソフ トウ ェ ア 
全 評 価 を 行う た め の ス テッ プ を 紹介 し ます . 


竹 


対 


⑯ ステ ッ プ 1 : 安全 の 視点 で 製品 を 見 つめ る 
e 製品 に と っ て 危険 な 事象 に は どの よう な も の が ある か ? 
まず , 最初 の 段階 と し て , 製 璧 シス テム ) 全体 と し て , 


し : ソフ トウ ェ ア 要 因 5 


図 2 シス テム に 関す る フォ ー ル ト ・ ツ リー 分 板 シス テム FTA) 
シス テム FTA で トッ プ 事 象 か ら 子 事象 を 識別 し て いく . そし て , 分 析 し た 
子 事 包 ソフ ト ウェ ア 要 因 ) を さら に 分 析 す る た め に , ソフ ト ウェ ア FTA を 
実施 する . 
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どの よう な こと が 潜在 危険 と し て 危ぶま れる か を じっくり 
洗い 出す こと に な り ま す . この 段階 で は , さま ざま 立場 の 
人 が 参加 し て 抽出 作業 を する と よい で し ょ う . 
e 危険 な 事象 に 関連 する ソフ ト ウェ ア 機 能 は どの よう な も 

の が ある か ? 

ここ で は , ソフ トウ ェ ア が どの よう に 製品 の 安全 性 に 影 
響 を 及ぼ すか を 分 析 し ます . 1 に 示し た 観点 と と も に , 
ジス テム に 関す る フォ ー ル ト ・ ツリー 分析 シス テム PTA) 
や ソフ ト ウェ ア に 関す る フォ ー ル ト ・ ツ リー 分 析 ソフ ト 
ウェ ア FTA), 故障 モー ド 影響 解 板 FMEA : failure 
mode & effects analysis) な ど が ここ で 役に立ち ます . 例 
と し て ,「 宇宙 機 を 失っ て し まう 」 と いう 危険 な 事象 に 対し 
て , ソフ トウ ェ ア が どの よう に 影響 する の か を 分 析 し た 
FTA を 図 2 に 示し ます . 

まず 初め に , シス テム FTA の トッ プ 事 旬 宇宙 機 吾 失 」 
の 原因 と な る 子 事象 を 識別 し , さら に その 子 事象 と いう 形 
で 段階 的 に 要因 を 詳細 化し ます . 次 に , この シス テム FTA 
の 分 析 か ら 事象 を 連結 する 形 で 別途 ソフ トウ ェ ア FTA を 
進め , ソフ トウェア 内 部 の 要因 を 詳細 化し て いき ます . 

ソフ トウ ェ ア FTA に お いて は , ソフ トウ ェ ア 内 の 機能 
故障 を 想定 する の で は な く , 与え られ た 機能 に 対し て , 外 
部 要因 や タイ ミン グ な どの 問題 に より , 機能 が 不用 意 に 動 
作 す る / 動 作 し な いと いう 切り 口 で 分 析 す る と , うま く 分 
析 で きま す . 

ソフ トウ ェ ア 要 因 と し て は , で きる 限り 詳細 に 子 事象 を 
識別 する こと が 望ま し い の で す が , ある 程度 の 詳細 レベ ル 
( モジ ュー ル 分 解 レ ベル ) ま で 達成 し た と ころ で , それ 以上 
の 詳細 化 は 困難 に な り ま す . そこ で スト ッ プ で す . 


@⑯ ステ ッ プ 2 : 安全 性 を 設計 する 

ソフ トウ ェ ア FTA の 未 端 事象 に 対し て , どの よう に ソ 
フト ウェ ア 要 因 を 制御 する の か と いう 検討 が 始ま り ま す . 
ソフ トウ ェ ア ・ イ ン ヒ ビッ ト ( 潜在 危険 に 至る 指示 の 実行 
を 不可 能 に する た め の ソ フト ウェ ア 機 能 ), 故障 許容 設計 , 
安全 マー ジン 設計 な ど , さま ざま な 設計 解 が 存在 し ます が , 
シス テム 構成 や リソー ス な ど を 考慮 し た 上 で 設計 解 を 決定 
し , 上 記 FTA に 反映 する こと に な り ま す . 

ここ で 重要 な の は , 無理 に ソフ トウ ェ ア で すべ て 解決 し 
よう と し な いこ と で す . ソフ トウ ェ エア に 固執 する こと で ソ 
フト ウェ ア を さら に 複雑 な も の に し て し まい , か えっ て 人 危 
険 性 を 増す こと に な り ま す . また , 検証 が さら に 困難 に 


組み 込み シス テム o 幅 頼 性 と 安全 ' 性 を 高め る 


な っ た り , 開発 コス ト が 増加 する こと に も な りか ね ませ ん . 
NII 
ウェ ア に よる 設計 解 を 考え た り , 機能 安全 に よる 設計 解 だ 
け で は な く , いわ ゆる passive safety に よる NN 含め , 
幅広 い 視野 を 持っ て 検討 する こと が と て も 重要 で す . 


@ ステ ッ プ 3 : 安全 性 を 検証 する 

全 設 計 の 結果 に 基づい て , 設計 解 が 製品 に 確実 に 組み 
込ま れ , 正しく 動作 する こと を 検証 し ます . その た め に 必 
要 な 検証 プロ セス を 計画 し , 漏れ の な いよ うに 検証 を 実施 
し ます . 検証 結果 を 記録 し て , 安全 を 立証 し ます . 


3. 安全 性 確保 に 有効 な 取り 組み | 


JAXA で は これ まで 述べ て きた よう な 安全 評価 の 取り 組 
み の ほ か , 安全 確保 の た め に , ソフ トウ ェ ア 独 立 検証 ・ 肥 
当 性 確認 IV&V : Independent Verification & Validation) 
や プロ セス 改善 に も 取り 組ん で いま す . 


⑯ コス ト に 合わ せ て 検証 ・ 妥 当 性 確認 を 実施 

IV&V と は , 開発 組織 か ら 独 立 し た 組織 が , 独自 の 観点 
で 検証 と 妥当 性 確認 V&V) を 実施 する こと を 言い ます . 宇 
宙 分 野 に お いて は , スペ ー ス ・ シ ャ トル チャ レン ジャ ー」 
の 事故 を きっ か け に , ソフ ト ウェア IV&V が 強化 され る よ 

うに な り ま し た . 米国 航空 宇宙 局 NASA ) は 1993 年 に 
IV&V 専門 の 施設 を 設立 し , NASA の 全 プ ロジ ェクト を 対 
0 JAXA に お いて も , 宇宙 ステ 
ーション 計画 を きっ か け に 1996 年 より IV&V 活動 を 継続 的 
に 実施 し て いま す . 

宇宙 分 野 に お いて も , ソフ ト ウェ ア の 検証 コス ト は 厳し 
く 制限 され て いま す . JAXA は , それ ぞ れ の ソフ ト ウェア 
に 合わ せ て , コス ト 対 効果 の 高い IV&V 活動 を 目指 し て い 
ます . 具体 的 に は , 各 検 証 技 術 に 対し て の 効果 重大 バグ 
の 早期 抽出 ) を 計測 し て , プロ ジェ クト の 特徴 や コス ト な 
どの 制約 事項 を 考慮 し た 上 で 検証 技術 を 選定 ・ 最適 化す る 
た め の モ デル を 構築 し て いま す . 

図 3 は , IV&V と し て 実施 する べき 評価 観点 縦 軸 ) に 対 
し て 有効 な IV&V 技術 を , 開発 フェ ー ズ 横 軸 ) に 沿っ て 
実施 コス ト ( 奥行 き 軸 ) と と も に 例示 し た も の で す . 例え 
ば , 人 命 に 影響 する よう な 重要 な 安全 関連 機能 で は , 仕様 
の 完全 性 を 検証 する た め モデ ル 検 査 」 が 有効 で す . 一 


開発 フェ ー ズ 凶 


設計 網羅 性 ・ タ イミ ング 図 
イン ター フェ ー ス 整合 性 較 
検証 綱 雇 性 
リス ク 解 析 ・ ロ バス ト 性 較 

整合 性 ・ ト レー サビ リティ 図 
開発 プロ セス ・ 品質 


図 和 豆 潮 


図 3 IV&V の 選択 モデ ル 


評価 観点 と 開発 フェ ー ズ , 実施 コス ト ご と に , 合致 する 検証 技術 を 図示 し て 
いる . 


方 , 検証 コス ト が 少な く , 何 か あ っ て も 一 時 的 に デー タ を 
損失 する 程度 の 影響 し か 及ぼ さ な い 機能 こつ いて は , 過去 

の 経験 昌 を まとめ 妹 チェ ッ ク ・ リ スト 」 に よる レビ ュー に 
作業 を 限定 する 方 法 が あり ます . 

この よう に , 対象 機能 の 安全 上 の 重要 性 と 検証 コス ト 制 
約 に 合っ た 技術 を 選択 し , 最適 化す る こと に より , 限ら れ 
た コス ト の 中 で も 安全 性 の 向上 に 貢献 する こと が で きま す . 
現在 筆者 ら は , NASA お よび 欧州 宇宙 機関 ESA) と の 国 
際 協 力 の 下 , ソフ ト ウェア 1IV&V と し て 有効 な 技術 の 体系 
化 と 標準 化 を 行っ て いま す . 


⑯ プロ セス 改善 と メト リク ス 

プロ セス 改善 活動 と し て は , 事故 や 重大 な 不具 合 を 分析 
し , プロ セス 上 の 課題 を 識別 し て いま す . 米国 の 航空 機 事 
故 調査 で 用 いら れる よう な 事故 モデ ル 分 析 技 術 ? を 利用 し 
て , 改善 が 必要 な プロ セス を 抽出 し , 最も 改善 効果 の 上 が 
る プロ セス か ら 改 善 を 実施 し て いま すま 4 
また , 宇宙 分 野 の 場合 , 開発 組織 は JAXA 以外 に 本 
ー カ や 下請 け 企 業 な ど が あり それ ら の 企業 の 協力 に 
て 開発 を 進め て いま す . その た め , 開発 プロ セス に お ける 
各 企 業 の 役割 や プロ セス の イン ター フェ ー ス を 明確 に 規定 
する 必要 が あり まず 統合 プロ セス ). 信頼 性 向上 と 安全 性 
確保 の 観点 か の ら プロセ ス ・ メ トリ クス を 導入 し , プロ セス 
の 良否 を 可視 化し て いま す . 

関連 メー カ ご と に 取得 で きる メト リク ス ・ デ ー タ の 種類 


3: NASA の IV&V に つい て は , http://www.ivvnasalgov/ を 参照 の こと . 

E4: 通常 は , 一 つの 事故 や 不具 合 情報 か ら 複数 の 改善 する べき プロ セス が 
識別 で き , どの プロ セス を 改善 し て も 事故 や 不具 合 の 発生 を 抑制 で き 
る こと が 分 か る . 


坪 貞 
還 
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が 異な る た め , JAXA で は 評価 関数 を 用 意 し て デー タ を 加 @ 安全 は 3 段階 で 確保 する 

工 し , 全体 を 定量 的 に 評価 で きる よう に 工夫 し て いま す . 安全 な シス テバ (ソフ ト ウェ ア ) の 開発 を 考え る 場合 , ま 
プロ セス ・ ア セス メン ト の 観点 で は , 欧州 を 中 心 と し て ず , 安定 し た 開発 プロ セス に より 製品 の 品質 を 向上 させ る 

宇宙 分 野 特有 の ベス ト ・ プ ラク ティ ス を 考慮 し た プロ セ こと が 不可 欠 で す . また , テス ト に お いて , 異常 故障 試験 , 

ス ・ モ デル SPiCE for Space」 が 整備 され て いま す . ESA 負荷 試験 , ロバ スト 試験 か ど に よる テス ト ・ ケ ー ス を 充実 

は , 既に この プロ セス ・ モ デル に 基づい た アセ スメント を する こと に より , シス テム の 信頼 性 を 向上 する こと も 当然 

開始 し て いま す . 重要 と な り ま す . この よう な , 可能 な 限り 欠陥 を 排除 する 


( 火種 を 取り 除く ) 活動 に よっ 欠陥 ゼロ 」 を 目指 す 活 動 


wejl 目 リア ル タ イ ム OS の 信頼 性 を 検証 する 


宇宙 機器 に 搭載 する ソフ ト ウェ ア の 開発 に お いて , これ まで は , どの よう な 検証 を どの よう に 実施 すれ ば リア ル タ イ ム OS と し て の 
「 リ アル タイ ム OS は 動い て 当たり 前 」 と いう 認識 が 前 提 に あり , 内 品質 を 確保 する こと が で きる か を 検討 し まし た. 
部 解析 を 十分 に 行う こと は ほとん ど あ り ま せん で し た . その 結果 , 医療 機器 , 原子 力 発電 所 , 鉄道 , 軍事 機器 , 民間 航空 機 と いう 五 
リア ル タ イ ム OS の 不具 合 に より 開発 に 影響 きき た すこ と が 増え て つの 業界 に お ける 代表 的 な 12 の 標準 を ベー ス と し て , 必要 な 検証 
きま し た . また , CPU の 高速 化 に 伴い , 搭載 アプ リケーション ・ 要求 を 抽出 し まし 友 図 A). これ ら の 項目 を 検討 し , 最終 的 に , 検 
ソフ トウ ェ ア に 高度 で 複雑 な 機能 が 要求 され る よう に な っ て き て お 証 プ ロ セ ス の 一 部 と し て 定義 し まし た . 
り , リア ル タ イ ム OS は 今 ま で 以上 に 重要 な 役割 を 担っ て いま す . 
その よう な 状態 で リアルタイム OS を 十分 に 検証 し な いま ま 使 い 続 @@ 処理 時 間 予 測 や 保護 機能 こよ っ て 信頼 性 を 高め る 
ける こと は , 信頼 性 ・ 安 全 性 の 観点 か ら リ スク が あり ます . TOPPERS/HRP の 開発 に あたっ て は , シス テム を 安全 に 運用 で 
そこ で 筆者 ら は , 高 信頼 性 や 安全 性 が 求め られ る シス テム に 使わ きる よう に , 処理 を 確実 に リ アル タイ ム に 実行 する こと を 重視 し ま 
れる リ アル タイ ム OS を 検証 する た め の プ ロ セ ス を 定義 し まし た . し た . 応答 時 間 を 一定 の 範囲 内 に し た ほか , 必要 な 処理 時 間 を 予測 
また , TOPPERS プ ロジ ェクト と 共同 で , / ITRON 40 仕 様 の ス する 機能 や , 複数 の 処理 要求 が 同時 に 発生 し た 場合 で も 目的 の 時 間 
タン ダー ド ・ プ ロフ ァイル を ベー ス に , 信頼 性 を 高め る 独自 の 機能 内 に 完了 させ る た め の 機 構 ・ 機能 な ど を 実装 し まし た . また , リア 
を 盛り 込ん だ リア ル タ イ ム OS TOPPERS/HRP」 を 開発 し , 宇宙 ル タ イ ム 性 以外 の 機能 と し て , 主 に 以下 の 3 点 に つい て 機能 仕様 を 
日 の CPU に 実装 し まし た . 作成 し , 開発 を 進め まし た . 
e 搭載 リフ トウ ェ ア に お いて 過去 に 起こ っ た 問題 を 防ぐ た め に 必要 
@ 各 業 界 の 標準 か ら 検 証 要 求 を 抽出 な 機能 アプ リケーション ・ ソ フト ウェ ア が 暴走 し て も メモ リ 上 
ソフ トウ ェ ア 全 般 に 対す る 安全 基準 や ガイ ド ライ ン と し て ば DO- の 使用 禁止 領域 - こ アク セス で き な い 保護 機能 な ど ) 


178B」 サ IEC 61508] な ど が あり ます が , リア ル タ イ ム OS その も 
の の 安全 を 考え る た め の ガ イド ライ ン の よう な も の は , 世の中 に 存 
在 し ませ ん . また , これ ら の 安全 基準 に ば 何 を し な けれ ば な ら な 


es シス テム 全体 と し て 信頼 性 を 上 げ る た め に 必要 な 機能 リア ル タ 
イム OS や アプ リケーション ・ ソ フト ウェ ア の 動作 状況 を 記録 す 
る ログ 機能 な ど ) 


い が what)」 に つい て は 記述 され て いま す が ,「 どの よう に 実施 し e 個々 に 設計 され た 機器 を 統一 的 に 扱え る 機能 機器 の 起動 時 の 処 
な けれ ば な ら な い が how)」 に つい て は 記述 され て いま せん . そこ 還 や 機器 ご と の 処理 の 流れ を 統一 的 に 管理 する 機能 な ど ) 
で 筆者 ら は , リア ル タ イ ム OS 単体 に 対し て , 特に 検証 に 着目 し , 


図 A General 
リア ル タ イ ム OS RTCA JIS C 0508-7 AN Principles of 


検証 要求 の 抽出 例 際 規格 DO-178B [(IEC 61508) ( PART 2) | Oftware 


五 つ の 業界 標準 や Validation 
全体 を 網羅 し た 機 民間 航空 機 | 産業 一 般 軍事 機器 医療 機器 
能 安 全 規格 ( IEC 内 部 要求 事項 テス ト 補 O 
に 5 外部 要求 事項 テス ト ー ー 
検証 項目 を 洗い 出し 7495 還 還 
た 。 代表 値 の テス ト / 同 値 分 割 O ー 
境界 値 分 析 

/ 異 常 入力 域 テ スト 

/ ロ バス ト ネス ・ テ スト 
/ 極 端 な 値 の テス ト 

/ ク ラウ ング テス ド 
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が , 安全 確保 の 点 か ら 避け る こと の で き な い 重要 な 第 1 歩 
と な り ま ず 図 4 の ①). 

し か し 現実 的 に は , どの よう な 努力 を し て も 完全 に 欠陥 
を ゼロ に する こと は 不可 能 で す . そこ ず 欠陥 が あっ て も 
シス テム と し て 表面 化し な い 仕 組み 」 を 作り 込む こと が 必 
要 に な り ま ず 図 4 の ②). 多様 性 や 機能 冗長 化 か どの さま 
ざま な 技術 が あり ます が , ここ で 過剰 設計 に な ら な いよ う 
に 注意 が 必要 で す . 先ほど も 述べ た よう に , 過剰 設計 は 複 
雑 化 を 招き , 安全 性 低下 の 原因 に な り ま す . な お , 宇宙 機 
ソフ トウ ェ ア の 事例 に お いて は , この ②③ の 段階 に お ける 対 
策 が 機能 分 量 と し て 大 半 を 占め て いま す . 

万 が 一 , 欠陥 が 表面 化し て し まっ た 場合 の た め に は ,「 表 
面 化し て も 抑制 低減 ) で きる 仕組 み 」 を 準備 し , 危険 事象 
を 検知 し て 抑制 する こと が 必要 と な り ま ず 図 4 の ③). 宇 
宙 分 野 で は , すべ て の 危険 事象 を 検知 する 仕組 み が 要 求 さ 
れ て お り , これ が 最後 の と り で と な っ て いま す . 


人 @ 日 常 の 意識 が 安全 な ソフ トウ ェ ア を 作る 

安全 確保 の 活動 は 大 変 地道 な , 気力 の いる 作業 で す . そ 
れ な の 安全 に 動作 し て 当たり 前 」 と 思わ れ て し まい , そ 
の 努力 が 理解 され る こと は 非常 に まれ で す . また , 事故 と 
し て 表面 化し た と た ん , や り 玉 に 挙げ られ て し まい , 急 に 
「 安全 」 と いう 言葉 が 世間 に 踊る よう に な り ま す . 製品 を 作 
る 現場 の 担当 者 と し て は や り 切れ な いも の で す が , 宇宙 分 
野 , 特に NASA で は , 安全 文化 の 一 端 を 担う 技術 者 は その 
作業 に 大 変 誇り を 持っ て いま す . また , 周囲 か ら ぞ 安全 
が 設計 を 決め る 」 と 高く 評価 され て いま す . 

安全 文化 の 崩壊 を 回 避 す る た め の 一 つの 方 策 と し て , IEC 
61508 な どの 認証 に よっ て 安全 文化 を 構築 する こと は 大 変 
意義 だ と 思い ます が , それ も 関係 者 の 日 常 の 意識 モラ 
ル ) が 維持 され て こそ , 効果 が 上 が り ま す . 

最近 の 国内 に お ける 事故 事例 か ら も 分 か る よう に , どん 
な に 素晴らし い 認 証 活動 や 設計 技術 , 解析 技術 が あっ た と 
し て も , すべ て は 企業 お よび その 開発 者 ・ 運用 者 の モラ ル 
に 依存 し て し まい ます .「 セー フ テ ィ ・ ク リティ カル ・ シ 
ステ ム を 開発 し て いる 」 と いう 誇り が , 事故 回 避 に 大 きく 
貢献 する と 思い ます . 

また , 認証 に 安住 し て し まう と 大 変 危険 で す . 常 こ 
の 製品 は 本 当 に 安全 か ? 」 と 問い 続け , 安全 の プロ フェ ッ 
ショ ナル と し て の 姿勢 を 維持 し 続け る 必要 が あり ます . 
Nancy Leveson 氏 は , 安全 評価 プロ セス に 費やさ れる コス 
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図 4 安全 確保 の 考え 方 


火 を 出さ な いよ うに し ( 欠陥 ゼロ ), た と え 火 が 出 て も 防火 壁 で 防 き ( 表面 化 
し な い 仕組 み ), 表面 化し て も 消火 する ( 被害 を 抑制 で きる 仕組 み ). この 3 
段階 で 安全 を 確保 する . 


ト や 技術 者 の 意識 と 事故 の 発生 状況 の 関連 性 を 分 析 し た 結 
果 ,「 どの よう な 優れ た 安全 文化 が 構築 で き て も , 事故 は , 
安全 文化 の 形骸 化 や 心 の すき 間 に 忍 び 寄 る (長い 間 事 故 が 
起き な いう ち に 少し ずつ 安全 の 重要 性 を 忘れ て いき , 注意 
を 払わ な く な る )」 と いう データ を 示し て いま す . 

私 た ち 技 術 者 は , この よう な 状況 を 真剣 に 受け 止め , 誇 
り を 持っ て 安全 」 な 製品 作り を 進め て いき た いも の で す . 
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